pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Payez ce que vous voulez

Mercredi 19 aout 2009

Plusieurs artistes et maisons de disques nouvelle génération ont déjà adopté (avec un certain succès) la méthode "payez ce que vous voulez".

C'est intéressant de voir un éditeur de jeux vidéos s'essayer au genre: Le jeu "L'entraîneur 2009" sortira au prix minimal de 2,50€, libre aux internautes de payer plus.

On pourrait penser que ça ne marchera pas, mais après tout il vaut peut-être mieux vendre des milliers de copies à bas prix plutôt que se faire pirater, non ? De toute manière le jeu sera piraté, alors autant en profiter. D'ailleurs en regardant ce qui s'est passé pour les musiciens qui ont tenté l'aventure, rien ne dit que les internautes ne paieront que le prix minimal.

L'avenir nous dira si ça marche.

Une faille vieille de 8 ans corrigée dans le noyau de Linux

Mercredi 19 aout 2009

Une faille de sécurité vient d'être corrigée dans le noyau de Linux (2.4 et 2.6). Elle permettait à un simple utilisateur d'obtenir les droits administrateurs. Certes il faut déjà avoir un accès à la machine (donc avoir un compte sur cette machine) pour pouvoir exploiter la faille, mais ça reste assez grave. La faille a été signalée par deux spécialistes travaillant chez Google, et corrigée le jour même de sa publication par Linus Torvalds (une seule ligne à corriger).

C'est magnifique de voir un bug corrigé le jour même (ce qui est rarement le cas chez les systèmes d'exploitation concurrents).

Ce qui est nettement moins joli, c'est que ce bug est vieux de 8 ans. 8 ans, bordel. Bien qu'il ne semble pas y avoir eu d'utilisation de cette faille dans la pratique, ça fait quand même 8 ans que - potentiellement - votre machine Linux peut être noyautée. C'est très moche.

Ce qui est encore plus troublant (mais je ne trouve pas de lien), c'est qu'il semble que ce bug avait été signalé en 2001. (Si vous trouvez des liens, je suis preneur). Alors, c'est du pipeau ou c'est vrai ?

L'ADN n'est pas une preuve formelle - seconde partie

Mardi 18 aout 2009

Vous vous souvenez de mon article "L'ADN n'est pas une preuve formelle" ?

C'est encore plus vrai aujourd'hui, avec ce chercheur qui montre comment fabriquer des échantillons ADN. Vous avez bien lu.

La première méthode consiste à prélever un peu d'ADN à quelqu'un (par exemple un cheveu), puis utiliser les méthodes d'amplification génomiques pour le multiplier. Il n'y a plus ensuite qu'à saupoudrer la scène de crime avec l'ADN amplifié. Et voilà votre ADN partout sur la scène de crime.

Autre méthode: Se constituer une petite bibliothèque des séquences utilisées pour l'identification ADN. Quand on veut correspondre au profil d'une personne, il suffit de mélanger les bons éléments de cette bibliothèque dans les bonnes proportions afin que les 13 marqueurs utilisés pour les identifications ADN ressortent avec les mêmes proportions. Gagné.

Il faut à tout prix que l'on cesse de faire une confiance aveugle en la technologie lors des procès, surtout que l'ADN est encore trop considéré comme la preuve ultime... et certains scientifique ne supportent pas d'admettre leurs erreurs.


Mise à jour 23 août 2009: Il semblerait que des scientifiques aient trouvé le moyen de vérifier l'authenticité des échantillons ADN. Mais est-ce fiable ?

Mise à jour 17 septembre 2009: Un article édifiant sur l'excellent site BugBrother.

Il y a trop de logiciels de protection bidons

Mardi 18 aout 2009

C'est incroyable le nombre de logiciels qui existe pour "protéger un dossier par mot de passe". Ce qui est incroyable aussi, c'est la proportion de ces logiciels qui sont totalement bidons et qui n'offrent aucune sécurité réelle.

Je ne perds généralement pas de temps à démontrer qu'ils ne valent rien, mais de temps en temps ça me toque, comme par exemple récemment My Lockbox que je viens de démonter sur CCM.

Qu'est ce qui ne va pas avec ces logiciels ?

  • La plupart ne font que masquer les dossiers, les déplacer, voire changer le nom des fichiers. Ce qui se contourne en deux minutes en démarrant simplement sur un CD Linux.
  • Seuls les logiciels qui chiffrent (encryptent) les fichiers peuvent prétendre offrir une certaine sécurité, et encore pas n'importe comment:

    • Certains utilisent des algorithmes de chiffrement bidons (non fiables, voir carrément amateur), ce qui permet parfois de récupérer les fichiers en analysant le programme.
    • D'autres utilisent des algos fiables (comme AES), mais utilisent de mauvaises méthodes de vérification du mot de passe, ce qui rend le mot de passe facile à deviner (genre: stockage de la MD5 du mot de passe).
    • Certains logiciels ont aussi besoin d'une action pour re-vérouiller le dossier: Donc même si l'ordinateur est verrouillé, il vous suffit de presser le bouton RESET pendant qu'un dossier "protégé" est ouvert, et vous pouvez accéder aux fichiers. Et en cas de plantage, vos fichiers restent en clair.

Bref... dans la grande majorité des cas, les logiciels sont bidons, et ils sont très loin d'offrir la sécurité qu'ils annoncent.

Après avoir pas mal cherché, je reste sur TrueCrypt: L'auteur est loin d'être un imbécile et a pris un soin particulier à différents détails, comme la méthode de vérification du mot de passe, les algos et le mode de chiffrement, ou encore le cas où la machine est redémarrée de force alors que le dossier n'est pas re-vérouillé.

Ne confiez pas la sécurité de vos fichiers à n'importe quel logiciel, et ne vous arrêtez pas à ce que prétend l'auteur du logiciel.


PS: Si TrueCrypt vous intéresse, j'ai fait un petit didactitiel en vidéo pour expliquer son utilisation.

Un bug, des milliers de failles

Lundi 17 aout 2009

Vous vous souvenez de ma petite incartade concernant mon inquiétude face à la sécurité des librairies ?

Ça y est, les "analystes" (des gens payés très cher pour faire de grandes prédictions ou énoncer en termes pompeux un phénomène répandu) sont en train de réaliser que - oui oui - les librairies posent aussi des problèmes de sécurité. Pourtant c'est pas nouveau: Ça fait des années qu'on a vu apparaître des problèmes liés aux bugs des librairies (PNG, JPEG ou ZIP). Enfin bref, une faille majeure dans une librairie XML répandue a réveillé Gartner (grand enfonceur de portes ouvertes).

Donc, oui: Même si un programmeur a pris toutes les mesures de sécurité possible en créant son programme, les différentes librairies qu'il a utilisées pour créer son programme peuvent elle-même posséder des failles de sécurité. Et donc impacter la sécurité de son programme.

Règle pour les développeurs: Réduisez au maximum les dépendances de vos programmes. Ils seront plus sûrs, plus léger, plus rapides et vous aurez moins mal au crâne lors de l'évolution des librairies utilisées.

Vous comprenez mieux maintenant mon affection pour le low-tech et les applications qui font juste ce qu'elles sont censées faire ?


A côté de ça, les nausées habituelles de l'actu:

  • Grande réussite des américains pour restaurer la paix en Irak: les commandos irakiens qui collaborent avec l'armée américaine torturent également les homos/lesbiennes/bi. 10 ans de guerre et d'occupation par la "plus puissante" armée du monde pour en arriver là, ça fait pitié. C'est bien beau de dire qu'on a la plus grosse, encore faut-il savoir s'en servir.

  • Ah on l'aura bien étalé en long, en large et en travers cet ado de 16 ans qui a massacré sa famille. Ça fait toujours de l'audience, pourquoi s'en priver. Après tout, ils sont là pour vendre du temps de cerveau.

  • S'il y a au moins une chose que le procès d'Outreau nous aura appris, c'est qu'il faut avancer fermement, mais avec précaution sous peine de briser des vies. Les États-Unis ne prennent pas cette peine et diffusent publiquement la liste des agresseurs sexuels, et tant pis pour vous si vous y êtes fiché par erreur. Le fichage nous sauvera, c'est Sarko-M.A.M. qui le disent, ça doit être vrai.

  • Encore un iPod qui explose. Réponse d'Apple: Ça ne peut pas être vrai. Apple, l'entreprise qui tente d'exceller en matière d'opacité à l'ère d'internet (appareils verrouillés (iPhone), DRM, décisions arbitraires de supprimer les applications des développeurs du catalogue iPhone...). Le pire, c'est qu'ils gagnent de l'argent. Microsoft en ferait le quart, il se ferait lyncher sur la place publique.

  • Wikipedia est toujours le terrain de guerres d'édition, la différence est que la liste des modifications est publique. Et paf, l'Élysée s'est fait prendre la main dans le sac en train de supprimer des paragraphes gênants. Haha. Après il ne faut pas s'étonner qu'ils veuillent autant réguler cet affreux internet où on peut dire n'importe quoi ! Au moins les journalistes du 20h, eux, disent la vraie vérité, et ils ne font pas chier leur monde comme ces salauds d'internautes-libertaires-pirates-pédophiles-nazis-terroristes.

  • Décidément, c'est le grand divorce entre les artistes et leur maisons de disque: Morissey demande à ses fans de ne surtout pas acheter la dernière compilation sortie par EMI: Il n'en touchera pas un centime. D'ailleurs il n'a rien touché de sa maison de disque depuis 1992.
    Dans le même temps, un groupe est relancé grâce au piratage de ses vidéos.

  • Bon, ça doit être la mode des pubs moisies.

  • Filtrer internet, ça marche toujours pas. Ça n'empêche pas les gouvernements et institutions d'essayer encore et encore: Le filtre du ministère de l'éducation australien semble bloquer des sites éducatifs et laisser passer des sites pornos. Raté.

  • Du côté des brevets, décidément, les absurdités récentes dérangent. Microsoft dépose un brevet sur le stockage de données bureautique en XML, et dans le même temps se voit interdit de vendre Word à cause... d'une violation de brevet concernant des manipulations XML.
    « Si les gens avaient compris comment seraient accordés des brevets, à l’époque où la plupart des idées actuelles ont été inventées, et avaient déposé des brevets, l’industrie serait aujourd’hui complètement bloquée. ». Ce n'est pas moi qui le dit, c'est Bill Gates, fondateur de Microsoft, en 1991. Et après, Microsoft se vante de ses 10000 brevets (et encore, je ne vous parle pas d'IBM, Apple...). C'est absurde, et ça finit par déranger. C'est pas pour ça que ça va évoluer dans le bon sens.

Dégoûts du jour

Lundi 03 aout 2009

  • AP (Associated Press) - qui vend ses infos au monde entier - est une machine à encaisser sans tête. Ils considèrent que toute citation de leurs dépêches dépassant 4 mots exige paiement. Oui, 4 mots. Ils exigeront 12 dollars de vous pour citer une phrase du domaine public (donc qui ne leur appartient pas). Ou même 25 dollars pour vous citer vous-même. N'importe quoi. Bande de nazes.
  • L'Allemagne veut fliquer internet avec une nouvelle loi, malgré les 140000 signatures de la pétition contre. Pourquoi ? Mais parce que internet, c'est le chaos, ma bonne dame ! Il faut mettre de l'ordre dans tout ça.
  • La plus grosse industrie des USA ? Les armes. Et de loin. Les mots sont inutiles: Il suffit de regarder le graphe. On comprend d'un coup tout un tas de choses.
  • Apple tente de faire taire la famille d'une gamine de 11 ans dont l'iPod a explosé.
  • La Grande-Bretagne envisage sérieusement de mettre des caméras de surveillance chez les particuliers, à la discrétion du ministère de la jeunesse. Puisqu'on vous dit que c'est pour protéger les cht'tits nenfants !
  • Un blogueur se fait voler son identité et ses articles par un gros site de news (sys-con.com/ulitzer.com), qui par la suite le menace et le diffame. Classe.
  • Histoire de vous mettre un peu plus les pétoches sur internet: Démonstration d'un keylogger directement dans le firmware d'un clavier, le BIOS de 60% des ordinateurs portables qui peut être détourné pour infecter à distance votre machine, ou encore une bonne grosse faille dans la gestion des certificats SSL.
  • Et en cadeau bonus, Kaspersky qui fait concurrence à Microsoft avec une pub bien moisie avec Jackie Chan. Youhou.

Quel monde merveilleux. C'est moche de sortir la tête de l'eau pour prendre des nouvelles du monde et recevoir autant d'odeurs nauséabondes. Bon, je replonge dans mes congés avec ma famille, on y est bien mieux.

PS: Qui a dit "Toi et moi" ? Ouais bon, traitez-moi d'égoïste si vous voulez.


Mise à jour 17 août 2009: Une internaute (merci Celia !) me signale que l'affaire des caméras de surveillance chez les particuliers est bidon. Les services sociaux britanniques ont publié un démenti.